http的認證模式
　　SIP類似Http協(xié)議。其認證模式也一樣。Http協(xié)議（RFC 2616）規(guī)定可以采用Base模式和摘要模式（Digest schema）。RFC 2617 專門對兩種認證模式做了規(guī)定。RFC 1321 是MD5標準。Digest對現(xiàn)代密碼破解來說并不強壯，但比基本模式還是好很多。MD5已經(jīng)被山東大學教授找到方法可以仿冒（我的理解），但現(xiàn)在還在廣泛使用。
1.最簡單的攻擊方式
　　如果網(wǎng)站要求認證，客戶端發(fā)送明文的用戶名密碼，那網(wǎng)絡上的竊聽者可以輕而易舉的獲得用戶名密碼，起不到安全作用。我上學時曾在科大實驗室局域網(wǎng)內(nèi)竊聽別人的科大BBS的密碼，發(fā)現(xiàn)BBS的用戶名密碼居然是明文傳輸?shù)�。那種做賊的心虛和做賊的興奮讓人激動莫名。偷人錢財會受到道德譴責，偷人密碼只會暗自得意忘形。比“竊書不算偷”還沒有罪惡感。因此你的用戶名和密碼明文傳輸?shù)脑�，無異將一塊肥肉放在嘴饞的人面前。現(xiàn)在很多ASP網(wǎng)站的認證都將用戶名和密碼用MD5加密。MD5是將任意長度的字符串和128位的隨機數(shù)字運算后生成一個16byte的加密字符串。因此竊聽者抓住的是一團亂碼。但是，這有一個問題：如果竊聽者就用這團亂碼去認證，還是可以認證通過。因為服務器將用戶名密碼MD5加密后得到的字符串就是那一團亂碼，自然不能區(qū)別誰是合法用戶。這叫重放攻擊（replay attack）。這和HTTP的基本認證模式差不多。為了安全，不要讓別人不勞而獲，自然要做基本的防范。下面是Http協(xié)議規(guī)定的兩種認證模式。
2.基本認證模式
　　客戶向服務器發(fā)送請求，服務器返回401（未授權(quán)），要求認證。401消息的頭里面帶了挑戰(zhàn)信息。realm用以區(qū)分要不同認證的部分�？蛻舳耸盏�401后，將用戶名密碼和挑戰(zhàn)信息用BASE64加密形成證書，發(fā)送回服務器認證。語法如下：
????? challenge?? = "Basic" realm
????? credentials = "Basic" basic-credentials
示例：
?? 認證頭： WWW-Authenticate: Basic realm="zhouhh@mydomain.com"
?? 證書：Authorization: Basic QsdfgWGHffuIcaNlc2FtZQ==
3.摘要訪問認證
　　為了防止重放攻擊，采用摘要訪問認證。在客戶發(fā)送請求后，收到一個401（未授權(quán)）消息，包含一個Challenge。消息里面有一個唯一的字符串：nonce，每次請求都不一樣�？蛻魧⒂脩裘�密碼和401消息返回的挑戰(zhàn)一起加密后傳給服務器。這樣即使有竊聽，他也無法通過每次認證，不能重放攻擊。Http并不是一個安全的協(xié)議。其內(nèi)容都是明文傳輸。因此不要指望Http有多安全。
語法：
????? challenge??????? =? "Digest" digest-challenge
????? digest-challenge? = 1#( realm | [ domain ] | nonce |
????????????????????????? [ opaque ] |[ stale ] | [ algorithm ] |
????????????????????????? [ qop-options ] | [auth-param] )
????? domain??????????? = "domain" "="? URI ( 1*SP URI )
????? URI?????????????? = absoluteURI | abs_path
????? nonce???????????? = "nonce" "=" nonce-value
????? nonce-value?????? = quoted-string
????? opaque??????????? = "opaque" "=" quoted-string
????? stale???????????? = "stale" "=" ( "true" | "false" )
????? algorithm???????? = "algorithm" "=" ( "MD5" | "MD5-sess" |
?????????????????????????? token )
????? qop-options?????? = "qop" "="? 1#qop-value
????? qop-value???????? = "auth" | "auth-int" | token
realm：讓客戶知道使用哪個用戶名和密碼的字符串。不同的領域可能密碼不一樣。至少告訴用戶是什么主機做認證，他可能會提示用哪個用戶名登錄，類似一個Email。
domain：一個URI列表，指示要保護的域�？赡苁且粋�列表。提示用戶這些URI采用一樣的認證。如果為空或忽略則為整個服務器。
nonce：隨機字符串，每次401都不一樣。跟算法有關(guān)。算法類似Base64加密：time-stamp H(time-stamp ":" ETag ":" private-key) 。time-stamp為服務器時鐘，ETag為請求的Etag頭。private-key為服務器知道的一個值。
opaque：服務器產(chǎn)生的由客戶下去請求時原樣返回。最好是Base64串或十六進制字符串。
auth-param：為擴展用的，現(xiàn)階段忽略。
其他域請參考RFC2617。
授權(quán)頭語法：
?????? credentials????? = "Digest" digest-response
?????? digest-response? = 1#( username | realm | nonce | digest-uri
?????????????????????? | response | [ algorithm ] | [cnonce] |
?????????????????????? [opaque] | [message-qop] |
?????????????????????????? [nonce-count]? | [auth-param] )
?????? username???????? = "username" "=" username-value
?????? username-value?? = quoted-string
?????? digest-uri?????? = "uri" "=" digest-uri-value
?????? digest-uri-value = request-uri?? ; As specified by HTTP/1.1
?????? message-qop????? = "qop" "=" qop-value
?????? cnonce?????????? = "cnonce" "=" cnonce-value
?????? cnonce-value???? = nonce-value
?????? nonce-count????? = "nc" "=" nc-value
?????? nc-value???????? = 8LHEX
?????? response???????? = "response" "=" request-digest
?????? request-digest =? 32LHEX
?????? LHEX???????????? =? "0" | "1" | "2" | "3" |
?????????????????????????? "4" | "5" | "6" | "7" |
?????????????????????????? "8" | "9" | "a" | "b" |
?????????????????????????? "c" | "d" | "e" | "f"
response：加密后的密碼
digest-uri：拷貝Request-Line，用于Proxy
cnonce：如果qop設置，才設置，用于雙向認證，防止攻擊。
nonce-count:如果服務器看到同樣的計數(shù)，就是一次重放。
示例：
401響應：??????? HTTP/1.1 401 Unauthorized
???????? WWW-Authenticate: Digest
???????????????? realm="testrealm@host.com",
???????????????? qop="auth,auth-int",
???????????????? nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
???????????????? opaque="5ccc069c403ebaf9f0171e9517f40e41"
再次請求：
???????? Authorization: Digest username="Mufasa",
???????????????? realm="testrealm@host.com",
???????????????? nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
???????????????? uri="/dir/index.html",
???????????????? qop=auth,
???????????????? nc=00000001,
???????????????? cnonce="0a4f113b",
???????????????? response="6629fae49393a05397450978507c4ef1",
???????????????? opaque="5ccc069c403ebaf9f0171e9517f40e41"
4.比較基本認證和摘要訪問認證都是很脆弱的。基本認證可以讓竊聽者直接獲得用戶名和密碼，而摘要訪問認證竊聽者只能獲得一次請求的文檔。

標簽： 安全 標準 服務器 網(wǎng)絡 網(wǎng)站 問題 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。